Nuova linea guida WHO sul data integrity

A ottobre è stata pubblicata la bozza della nuova linea guida WHO dedicata al data integrity.

La bozza rispetta molto quanto definito nelle linee guida sull’argomento pubblicate da altre Autorità.
Vediamone gli aspetti principali.

ALCOA

Sin delle prime righe del documento si fa riferimento ai requisiti GMP per i dati e al principio dell’ALCOA:

The data and information should be complete as well as being attributable, legible, contemporaneous, original and accurate, commonly referred to as meeting ALCOA principles.

§1.1

Si sottolinea inoltre come negli ultimi anni siano aumentate le osservazioni delle Autorità sull’argomento, attribuendone la causa a:

  • maggior affidamento sulle pratiche umane
  • uso di sistemi computerizzati non gestiti e convalidati
  • cattiva gestione di dati originali e record

ALCOA: A commonly used acronym for “attributable, legible, contemporaneous, original and accurate”.

ALCOA+: A commonly used acronym for “attributable, legible, contemporaneous, original and accurate” which puts additional emphasis on the attributes of being complete, consistent, enduring and available.

Per ovviare a questi problemi, la linea guida suggerisce di

  • stabilire e implementare policy di data integrity
  • stabilire e implementare procedure che facilitano la compliance ai requisiti e alle aspettative
  • adottare una politica di qualità che incoraggi il personale alla trasparenza e alla segnalazione di errori
  • applicare il QRM identificando le aree di rischio per l’integrità dei dati e implementando le azioni per la mitigazione del rischio
  • assicurare risorse sufficienti al monitoraggio della compliance alle procedure
  • addestrare il personale sulle good practice, i sistemi computerizzati e la data integrity
  • convalidare i sistemi computerizzati per il loro intended use
  • definire ruoli e responsabilità all’interno dei quality agreement con i fornitori.

Efficacia della data governance

Si affronta anche il programma di data governance elencandone gli elementi che ne favoriscono l’efficacia:

  • applicazione del QRM
  • good data management principles
  • quality metrics e KPI
  • convalida
  • change management
  • controllo degli accessi e sicurezza
  • controllo della configurazione
  • prevenzione di pressioni commerciali/politiche/finanziarie/organizzative
  • prevenzione di incentivi che possano minare l’integrità del lavoro
  • adeguate risorse
  • ambiente e flussi che supportano il data integrity
  • monitoraggio
  • conservazione dei record
  • training e consapevolezza del personale.

Approccio basato sul rischio

Di fondamentale importanza nella linea guida è l’approccio basato sul rischio.

The effort and resources applied to assure the integrity of the data should be commensurate with the risk and impact of a DI failure.

§4.10

Il risk assessment deve essere documentato e deve coprire sistemi e processi che producono dati o, nel caso in cui i sistemi ottengano dati, la loro criticità e i rischi correlati (§ 5.1).
Se il risk assessment identifica aree di miglioramento, azioni prioritarie e controlli, questi devono essere documentati e comunicati.
Nel caso in cui le misure siano a lungo termine, nel frattempo devono essere previste anche misure a breve termine per garantire una buona gestione dei dati (§5.4).

Management review

La compliance alle policy di data integrity e alle procedure deve essere riportata dei meeting periodici del management (§6.1).
L’efficacia dei controlli implementati deve essere misurata con quality metrics e KPI (§6.2).

Good Documentation Practice

La linea guida elenca anche alcune good documentation practice per la gestione corretta del dato registrato su carta:

  • uso di inchiostro indelebile e permanente
  • vietato l’uso di matite
  • correzioni firmate, datate e giustificate
  • vietato l’uso di correttori fluidi
  • vietato oscurare il record originale
  • emissione controllata di pagine, blocchi, template
  • archiviazione dei documenti da parte di personale indipendente e designato.

Sistemi computerizzati

Per quanto riguarda i sistemi computerizzati, è necessario valutare i rischi per i dati in tutti i sistemi che acquisiscono, registrano o processano dati (§12.2).
Dovrebbero essere utilizzati software opportunamente configurati e validati (§12.3). Qualora si utilizzino software non configurabili, bisogna impedire la manipolazione dei dati con controlli specifici (§12.4).

Un sistema documentato deve elencare i privilegi e gli accessi degli utenti per ciascun sistema computerizzato (§12.7).

Il trasferimento di dati deve essere convalidato (§12.13) e tracciato nell’audit trail (§12.12).
Anche il backup e i processi di restore devono essere convalidati e periodicamente verificati (per verificarne quantità, completezza, accuratezza di dati e metadati) (§12.27).

Il periodo di ritenzione dei dati deve essere definito in procedura (§12.25). Tutti i dati devono essere conservati per il periodo stabilito, compresi i record che spiegano i motivi (documentati) in caso di distruzione (§12.26).

CAPA

Qualora si identifichi un problema di data integrity GMP, la linea guida WHO richiede:

  • root cause analysis
  • impact and risk assessment
  • CAPA

Annex

Chiude la linea guida WHO un annex dedicato ad esempi di data integrity management:

  • Quality risk management e data integrity risk assessment
  • Good documentation practices
  • Data entry
  • Dataset
  • Durata dei dati
  • Attribuibilità
  • Contemporaneità
  • Change
  • Originalità
  • Controlli

Fonte:

WHO Guideline on data integrity (ottobre 2019), draft for comments

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *